Versicherungsaufsichtliche Anforderungen an die IT

Basisdaten
Titel	Rundschreiben 10/2018 (VA) Versicherungsaufsichtliche Anforderungen an die IT
Kurztitel	Versicherungsaufsichtliche Anforderungen an die IT
Abkürzung	VAIT
Geltungsbereich	Bundesrepublik Deutschland
Ursprüngliche Fassung vom	2. Juli 2018
Letzte Neufassung vom	03. März 2022

Die Versicherungsaufsichtlichen Anforderungen an die IT, abgekürzt VAIT, sind Verwaltungsvorschriften, die mit einem Rundschreiben der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) für die sichere Ausgestaltung der IT-Systeme sowie der zugehörigen Prozesse und diesbezüglicher Anforderungen an die IT-Governance an deutschen Versicherungen veröffentlicht wurden. Sie wurden von der BaFin mit dem Rundschreiben 10/2018 (VA) vom 2. Juli 2018 veröffentlicht und im März 2019 aktualisiert. Die letzte Aktualisierung datiert vom 3. März 2022.

Geltungsbereich und Abgrenzung[Bearbeiten | Quelltext bearbeiten]

Die VAIT konkretisieren die gesetzlichen Anforderungen des Versicherungsaufsichtsgesetz (VAG), §§ 23–32. Es handelt sich bei ihnen um normeninterpretierende Verwaltungsvorschriften, die eine Selbstbindung der deutschen Aufsicht gegenüber den Versicherungen darstellen.

Geltungsbereich[Bearbeiten | Quelltext bearbeiten]

Die VAIT finden Anwendung für alle Unternehmen, die nach § 1 Abs. 1 VAG der Aufsicht unterfallen, mit Ausnahme der Versicherungs-Zweckgesellschaften im Sinne des § 168 VAG und der Sicherungsfonds im Sinne des § 223 VAG. Insbesondere gelten sie nicht für die Deutsche Rentenversicherung oder (gesetzliche) Krankenkassen, da deren Rechtsgrundlage das Sozialgesetzbuch darstellt und demnach das Bundesamt für Soziale Sicherung die zuständige Aufsichtsbehörde darstellt.^[1][2]

Für Versicherer gibt es außerdem keine zum Einheitlichen Bankenaufsichtsmechanismus vergleichbaren Regelungen, welche sie abhängig von ihrer Größe oder Bedeutung direkt unter die Aufsicht einer europäischen Behörde (EIOPA) stellen würden. Daraus folgt, dass es auch keine weiteren von den VAIT ausgenommenen Versicherer gibt.

Abgrenzung zu anderen Rechtsakten[Bearbeiten | Quelltext bearbeiten]

MaGo[Bearbeiten | Quelltext bearbeiten]

Für Unternehmen, die dem Anwendungsbereich des Aufsichtssystems Solvabilität II, auch Solvency II genannt, unterliegen, bleiben die in den Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen (kurz MaGo) enthaltenen Anforderungen unberührt.

KRITIS[Bearbeiten | Quelltext bearbeiten]

Kritische Infrastrukturen (KRITIS) sind nach dem BSI-Gesetz (BSIG) Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen verursachen würde. Die BaFin hat die VAIT im März 2019 um ein KRITIS-Modul ergänzt, das sich ausschließlich an Versicherer richtet, die Betreiber Kritischer Infrastrukturen (KRITIS) im Sinne des § 8a BSIG sind.

DORA[Bearbeiten | Quelltext bearbeiten]

Bei Verordnung (EU) 2022/2554 (DORA) handelt es sich um eine EU-Verordnung, die darauf abzielt, den europäischen Finanzmarkt gegenüber Cyberrisiken und Vorfällen der Informations- und Kommunikationstechnologie zu stärken. Im Gegensatz zur VAIT, die spezifisch auf die IT-Anforderungen von Versicherungsunternehmen abzielt, gilt DORA sektorübergreifend für fast alle beaufsichtigten Institute und Unternehmen des europäischen Finanzsektors.

Inhaltlich finden sich einige der VAIT in DORA wieder, wie beispielsweise das Instrument der Ausgliederungsanzeigen beim Einsatz von IT-Dienstleistern, Anforderungen an das IKT-Risikomanagement oder im Umgang mit operativer Informationssicherheit.^[3]

Es bleibt bis zum Anwendungsbeginn von DORA im Jahr 2025 abzuwarten, auf welche Art und Weise die BaFin die zahlreichen neuen Anforderungen in ihre bisherigen Verwaltungsvorschriften und Prüfpraxis integriert.

Inhalte[Bearbeiten | Quelltext bearbeiten]

Die VAIT gliedern ihre 104 Textziffern in 11 Kapitel. Jedes dieser Kapitel ist einem übergeordneten Themengebiet gewidmet und beginnt mit einer Beschreibung dessen.

1 – IT-Strategie[Bearbeiten | Quelltext bearbeiten]

Dieses Kapitel fordert von der Geschäftsführung die Implementierung einer mit der Geschäftsstrategie konsistenten IT-Strategie. Diese muss unter anderem einige Mindestinhalte enthalten, operationalisierbar sein und im gesamten Unternehmen in geeigneter Weise kommuniziert werden.

2 – IT-Governance[Bearbeiten | Quelltext bearbeiten]

Hier geht es um die Steuerung und Kontrolle der IT im Unternehmen. Die Aufsicht betont die Notwendigkeit einer effektiven IT-Governance-Struktur, die eine klare Zuweisung von Verantwortlichkeiten und eine effektive Überwachung der IT-Aktivitäten ermöglicht. Ebenso wird die Anforderung gestellt, den Stand der Technik in der gesamten IT umzusetzen.

3 – Informationsrisikomanagement[Bearbeiten | Quelltext bearbeiten]

Dieses Kapitel behandelt die Identifikation und Bewertung von IT-Risiken. Es fordert ein systematisches und kontinuierliches Risikomanagement, das auf die Identifizierung, Bewertung, Steuerung und Überwachung von IT-Risiken abzielt. Ein zugehöriges Berichtswesen ist ebenfalls obligatorisch. Außerdem soll sich die Schutzbedarfsfestellung an den Schutzzielen der Informationssicherheit „Integrität“, „Verfügbarkeit“, „Vertraulichkeit“ und „Authentizität“ orientieren.

4 – Informationssicherheitsmanagement[Bearbeiten | Quelltext bearbeiten]

Hier werden Anforderungen an die Sicherheit von Informationen und Daten im Unternehmen gestellt. Es betont die Notwendigkeit eines effektiven Informationssicherheitsmanagementsystems (ISMS), das auf den Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen abzielt. Außerdem wird die Rolle des Informationssicherheitsbeauftragten (ISB) und zugehörige Aufgaben und Pflichten definiert.

5 – Operative Informationssicherheit[Bearbeiten | Quelltext bearbeiten]

Dieses Kapitel, das in der Novellierung vom 3. März 2022 hinzugefügt wurde, behandelt die praktische Umsetzung der Informationssicherheit im operativen Betrieb. Es legt besonderen Wert auf die Implementierung von Sicherheitsmaßnahmen in den täglichen Betriebsabläufen. Das Kapitel enthält Regelungen unter anderem zu folgenden Schwerpunkten:

• Schwachstellenmanagement
• Netzwerksegmentierung
• Härtung von IT-Systemen
• Verschlüsselung von Daten
• Perimeterschutz im Sinne der physischen IT-Sicherheit
• Erkennung von Gefährdungen
• Überprüfungen der operativen Informationssicherheit

6 – Identitäts- und Rechtemanagement[Bearbeiten | Quelltext bearbeiten]

Hier geht es um die Verwaltung von Benutzeridentitäten und Zugriffsrechten im IT-System. Es fordert ein effektives Identitäts- und Rechtemanagement, das den Zugriff auf IT-Ressourcen auf der Grundlage des Need-to-Know-Prinzips steuert.

7 – IT-Projekte und Anwendungsentwicklung[Bearbeiten | Quelltext bearbeiten]

Dieses Kapitel behandelt die Planung, Durchführung und Kontrolle von IT-Projekten und die Entwicklung von Anwendungen. Es betont die Notwendigkeit einer strukturierten Projektmanagementmethodik und eines standardisierten Softwareentwicklungsprozesses.

8 – IT-Betrieb[Bearbeiten | Quelltext bearbeiten]

Hier werden Anforderungen an den laufenden Betrieb der IT-Systeme und -Prozesse gestellt. Es betont die Notwendigkeit einer effektiven IT-Betriebsorganisation, die eine kontinuierliche Überwachung und Kontrolle der IT-Systeme und -Prozesse ermöglicht.

9 – Ausgliederungen von IT-Dienstleistungen und sonstige Dienstleistungsbeziehungen im Bereich IT-Dienstleistungen[Bearbeiten | Quelltext bearbeiten]

Dieses Kapitel behandelt die Auslagerung von IT-Dienstleistungen und die Zusammenarbeit mit externen Dienstleistern. Es fordert eine sorgfältige Auswahl, Steuerung und Überwachung von IT-Dienstleistern sowie eine angemessene Risikobewertung und -steuerung.

10 – IT-Notfallmanagement[Bearbeiten | Quelltext bearbeiten]

Dieses Kapitel, das in der Novellierung vom 3. März 2022 hinzugefügt wurde, behandelt die Vorbereitung auf und den Umgang mit IT-Notfällen. Es betont die Notwendigkeit eines effektiven IT-Notfallmanagements, das auf die Minimierung der Auswirkungen von IT-Notfällen auf die Geschäftsprozesse abzielt.

11 – Kritische Infrastrukturen[Bearbeiten | Quelltext bearbeiten]

Dieses Kapitel, das im März 2019 hinzugefügt wurde, richtet sich ausschließlich an Versicherer, die außerdem Betreiber von kritischen Infrastrukturen sind. Es beschreibt, welche Anforderungen zu berücksichtigen sind, um den Nachweis gemäß § 8a BSIG auf Basis der VAIT zu erbringen.

Anwendung der VAIT[Bearbeiten | Quelltext bearbeiten]

Proportionalitätsprinzip[Bearbeiten | Quelltext bearbeiten]

Das sogenannte Proportionalitätsprinzip spielt in den VAIT eine erhebliche Rolle^[4] und wird in Rz. 7 der Vorbemerkungen zu den VAIT näher erläutert. Entsprechend § 296 VAG gilt, dass die aufsichtsrechtlichen Anforderungen auf eine Weise zu erfüllen sind, die der Wesensart, dem Umfang und der Komplexität der mit der Tätigkeit des Unternehmens einhergehenden Risiken (ihrem sogenannten Risikoprofil) gerecht wird. Es soll dabei den Rechtsgrundsatz der Verhältnismäßigkeit sicherstellen.

Prüfpraxis[Bearbeiten | Quelltext bearbeiten]

Die BaFin überprüft die Einhaltung der VAIT im Rahmen ihrer Aufsichtstätigkeit anlassbezogen sowie anlassunabhängig. Neben dem regulären Austausch der Aufsichtsbehörde mit den Versicherungsunternehmen (zum Beispiel im Rahmen von Ausgliederungsanzeigen) werden auch Sonderprüfungen ähnlich der Banken-Sonderprüfungen nach § 44 KWG durchgeführt.

Eine Prüfung dauert im Durchschnitt drei bis vier Wochen und wird von fünf bis acht Prüfern durchgeführt^[5]. Es werden dabei alle VAIT-Kapitel abgedeckt. Die Prüfungen finden hybrid statt, wobei remote meist vorrangig die Sichtung der angefragten Dokumentation im Fokus steht, während vor Ort beim zu prüfenden Unternehmen Interviews mit dem Leitungsorgan und den benannten Ansprechpartnern durchgeführt werden.

Die BaFin ordnet anschließend allen festgestellten IT-Mängel je Kapitel eine von vier Risikokategorien (F1 bis F4) ein, wobei F1 geringfügige und F4 schwerwiegende Mängel darstellen.

Die Ergebnisse der Prüfung können zu aufsichtsrechtlichen Maßnahmen führen.

Ergebnisse durchgeführter Prüfungen[Bearbeiten | Quelltext bearbeiten]

Im Juni 2022 gab die BaFin bekannt, dass keiner der bis zu diesem Zeitpunkt geprüften Versicherer die VAIT vollständig erfüllt hat. Lediglich 10 % haben die Anforderungen „nicht vollständig erfüllt“, weitere 50 % „nur teilweise“. Bei 40 % aller IT-Prüfungen (ohne Nachschauprüfungen) sah die BaFin sogar die VAIT als „nicht erfüllt“ an.^[5] Frank Grund, damals Exekutivdirektor der Versicherungs- und Pensionsfondsaufsicht der BaFin, nannte die Ergebnisse der Prüfungen „recht ernüchternd“.^[6]

Im Jahr 2023 erregten einige Versicherer aufgrund ihrer mangelnden Umsetzung der VAIT breites mediales Aufsehen:

• AXA: Aufgrund schwerwiegender Mängel in der IT-Geschäftsorganisation wurde im März 2023 ein Kapitalaufschlag bis zur Beseitigung aller Mängel auferlegt. Gravierende Mängel wurden vor allem im Risikomanagement, in der Geschäftsorganisation oder im Berechtigungs- und Ausgliederungsmanagement sowie im Datenschutz festgestellt.^[7][6] Aufgrund der Schwere der Feststellungen wurde hierbei erstmals der Name eines im Kontext der VAIT gerügten Versicherungsunternehmens veröffentlicht.
• Signal Iduna: Aufgrund schwerwiegender Mängel in der IT-Geschäftsorganisation wurde ein Kapitalaufschlag bis zur Beseitigung aller Mängel auferlegt.^[8][9]
• Allianz: Die BaFin bemängelte unter anderem die Bereiche Informationsrisikomanagement und das Identitäts- und Rechtemanagement, Steuerung von IT-Projekten und Entwicklung neuer Anwendungen. Nach umfassenden Umstrukturierungsmaßnahmen und Mängelbeseitigungen durch die Allianz wurde im September 2023 bekannt, dass die BaFin voraussichtlich von weiteren aufsichtsrechtlichen Maßnahmen absehen wird.^[10]

Siehe auch[Bearbeiten | Quelltext bearbeiten]

• Bankaufsichtliche Anforderungen an die IT (BAIT)
• Kapitalverwaltungsaufsichtliche Anforderungen an die IT (KAIT)
• Zahlungsdiensteaufsichtliche Anforderungen an die IT von Zahlungs- und E-Geld-Instituten (ZAIT)
• DORA (Digital Operational Resilience Act)^[11]

Weblinks[Bearbeiten | Quelltext bearbeiten]

• Kritische Infrastrukturen: BaFin ergänzt VAIT um KRITIS-Modul in der Fassung vom 20. März 2019
• Rundschreiben 10/2018 – Versicherungsaufsichtliche Anforderungen an die IT (VAIT) in der Fassung vom 3. März 2022

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

1. ↑ Übersicht: Aufsichtsbehörden der Krankenkassen. In: bundesgesundheitsministerium.de. Bundesministerium für Gesundheit, abgerufen am 29. Januar 2024. 
2. ↑ Rentenversicherung. Bundesamt für Soziale Sicherung, abgerufen am 29. Januar 2024. 
3. ↑ DORA - Digital Operational Resilience Act. In: bafin.de. Bundesanstalt für Finanzdienstleistungsaufsicht, abgerufen am 29. Januar 2024. 
4. ↑ Anna Faßbender: Fachartikel Proportionalität in der Versicherungsaufsicht. In: bafin.de. Bundesanstalt für Finanzdienstleistungsaufsicht, 15. März 2019, abgerufen am 29. Januar 2024. 
5. ↑ ^{a b} Renate Essler: Erkenntnisse aus IT-Prüfungen. In: bafin.de. Bundesanstalt für Finanzdienstleistungsaufsicht, 21. Juni 2022, abgerufen am 29. Januar 2024. 
6. ↑ ^{a b} Friederike Krieger: Aufsicht rügt Axa wegen Datenschutz. 18. Mai 2023, abgerufen am 29. Januar 2024. 
7. ↑ AXA Krankenversicherung Aktiengesellschaft: BaFin setzt Kapitalaufschlag fest. In: bafin.de. Bundesanstalt für Finanzdienstleistungsaufsicht, 17. Mai 2023, abgerufen am 29. Januar 2024. 
8. ↑ SIGNAL IDUNA Lebensversicherung a.G.: BaFin setzt Kapitalaufschlag fest. In: bafin.de. Bundesanstalt für Finanzdienstleistungsaufsicht, 23. November 2023, abgerufen am 29. Januar 2024. 
9. ↑ Susanne Schier: Bafin stellt IT-Mängel bei Signal Iduna fest. In: Handelsblatt. 15. November 2023, abgerufen am 29. Januar 2024. 
10. ↑ Christian Schnell: Bafin stoppt Ermittlungen gegen Versicherung. In: Handelsblatt. 27. September 2023, abgerufen am 29. Januar 2024. 
11. ↑ VAIT-Novelle: Klare Anforderungen. In: bafin.de. Bundesanstalt für Finanzdienstleistungsaufsicht, 7. Juli 2022, abgerufen am 4. Mai 2023.